網絡安全公司Qualys成為攻擊的最新受害者。
幾周前,火眼的安全專家指出,黑客組織 FIN11(也稱UNC2546)利用Accellion FTA 伺服器的多個0day漏洞攻擊全球上百家企業。攻擊中,黑客通過伺服器0day漏洞安裝一個名為“DEWMODE”的web shell,再用于下載下傳存儲在目标受害者FTA伺服器上的相關檔案。
目前,FIN11的具體動機尚未明朗。盡管從2021年1月下旬開始,陸續有受害者收到該黑客組織的勒索電子郵件,威脅要将竊取的資料釋出在“CL0P^_- LEAKS”(一個洋蔥路由的暗網網站)。有趣的是,雖然FIN11正在洩露或是準備洩露受害者的資料,但并沒有真實地直接對受害者受感染的系統進行加密。可以說,作為一個向來以經濟利益為動機的攻擊組織,此次卻沒有真實地從中擷取勒索贖金,也讓這次攻擊行動動機存疑。
在新南威爾士州交通局和龐巴迪運輸集團也傳出遭受了攻擊的消息後,網絡安全公司Qualys似乎成為了最新的狙擊目标。
Clop勒索軟體營運團夥聲稱已從Qualys竊取了資料,并在其洩漏站點上共享了被盜檔案的螢幕截圖,以此作為攻擊的證據。
從截圖中可以看到,洩露的資料包括了公司發票、采購訂單、稅務檔案和掃描報告。
作為一家全球知名的漏洞管理與合規解決方案公司,Qualys此次卷入攻擊事件備受關注。然而從近幾年的趨勢來看,安全公司被黑客攻擊,已然不是新鮮的事情,此前,FireEye、ZoneAlarm等多家安全公司都是攻擊的受害者,甚至因為安全公司為其客戶提供産品與服務,針對安全公司的攻擊也是一種“供應鍊”式攻擊,潛在威脅極大。是以,安全公司如何做好自身安全是一直需要思考的議題。
為了應對攻擊,Accellion FTA伺服器供應商已經釋出了多個安全更新檔,并且将在2021年4月30日前淘汰過時的FTA伺服器軟體。